# plain-crypto-js RAT > [!high] RAT Multiplataforma via Supply Chain npm — Março 2026 > Dropper de RAT distribuído via dependência maliciosa no pacote Axios npm. Multiplataforma (Windows/macOS/Linux). Contata C2 em sfrclak[.]com:8000. Pacote removido do npm em 31/03/2026. ## Visão Geral **plain-crypto-js RAT** é um dropper de Remote Access Trojan (RAT) multiplataforma distribuído como pacote npm malicioso durante o [[axios-supply-chain-2026|Axios Supply Chain Attack 2026]]. O malware foi públicado como `[email protected]` e injetado como dependência nos pacotes Axios `1.14.1` e `0.30.4` em 30-31 de março de 2026. O nome é um disfarce deliberado — o pacote imita a nomenclatura de bibliotecas legítimas de criptografia JavaScript (como `crypto-js`), mas não contém nenhuma funcionalidade relacionada a criptografia. Sua única função é agir como dropper: detectar a plataforma, contatar o servidor de comando e controle (C2), baixar e executar o payload de segundo estágio, e então apagar evidências forenses. A técnica de staging (públicar uma versão limpa `4.2.0` horas antes) demonstra planejamento deliberado para contornar sistemas de detecção baseados em histórico de reputação de pacotes. ## Como Funciona ### Mecanismo de Entrega O malware se aproveita do mecanismo `postinstall` do npm — scripts que são executados automaticamente após a instalação de um pacote. Quando qualquer desenvolvedor ou pipeline executa `npm install [email protected]`, o npm: 1. Instala o Axios 2. Instala automaticamente todas as dependências, incluindo `[email protected]` 3. Executa o script `postinstall` do `plain-crypto-js` sem intervenção do usuário ### Fluxo de Execução ```mermaid graph TB A["npm install [email protected]<br/>ou [email protected]"] --> B["Axios instala dependências<br/>[email protected] incluído"] B --> C["Script postinstall executado<br/>automaticamente pelo npm"] C --> D{"Detecção de plataforma<br/>Windows / macOS / Linux"} D --> E["Conexão C2<br/>sfrclak.com:8000"] E --> F["Download payload<br/>específico por plataforma"] F --> G["Execução do RAT<br/>Persistência no sistema"] G --> H["Limpeza de rastros<br/>Sobrescreve package.json"] style A fill:#2c3e50,color:#fff style E fill:#c0392b,color:#fff style G fill:#922b21,color:#fff style H fill:#7b241c,color:#fff ``` ### Técnicas de Evasão - **Auto-remoção forense:** Após execução, sobrescreve o próprio `package.json` com uma versão limpa, eliminando a evidência da dependência maliciosa - **Staging limpo:** Versão `4.2.0` públicada ~18h antes sem payload malicioso, estabelecendo reputação no registry - **Campaign ID embarcado:** ID `6202033` permite ao C2 rastrear e segmentar vítimas - **Payload transiente:** Scripts intermediários (`6202033.vbs`, `6202033.ps1`) são deletados após execução ## IOCs > [!ioc] Indicadores de Comprometimento — TLP:CLEAR > Fontes: Reddit r/cybersecurity, r/netsec, StepSecurity — verificação cruzada confirmada **Infraestrutura C2:** - Domínio: `sfrclak[.]com` - IP: `142.11.206.73` - Porta: `8000` - Campaign ID: `6202033` **Artefatos em disco (Windows):** - `%PROGRAMDATA%\wt.exe` — cópia renomeada do PowerShell ou binário malicioso - `%TEMP%\6202033.vbs` — loader VBScript transiente - `%TEMP%\6202033.ps1` — payload PowerShell transiente **Pacotes npm maliciosos:** - `[email protected]` — removido do npm em 31/03/2026 - `[email protected]` — removido do npm - `[email protected]` — removido do npm ## Detecção Indicadores de infecção: - Presença de `plain-crypto-js` no `package-lock.json` (qualquer versão) - Arquivo `wt.exe` em `%PROGRAMDATA%` (especialmente se sem assinatura Microsoft legítima) - Arquivos temporários com Campaign ID `6202033` - Tráfego de rede para `sfrclak[.]com` ou `142.11.206.73` na porta 8000 Regras de detecção recomendadas: - Alertar sobre execução de scripts `postinstall` que fazem conexões de rede externas - Monitorar criação de arquivos em `%PROGRAMDATA%` por processos npm/Node.js - Bloquear domínio C2 no DNS/proxy corporativo ## Referências - [Reddit — IOCs e análise técnica](https://www.reddit.com/r/cybersecurity/comments/1s8f2ye/axios_supply_chain_attack_iocs_and_what_actually/) - [Reddit r/netsec — Análise de supply chain](https://www.reddit.com/r/netsec/comments/1s8e9yk/axios_npm_package_compromised_in_supply_chain/) - [The Hacker News — Cobertura do incidente](https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html) ## Notas Relacionadas **Campanha:** [[axios-supply-chain-2026|Axios Supply Chain Attack 2026]] **TTPs:** [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] · [[t1070-indicator-removal|T1070 - Indicator Removal]] · [[t1036-masquerading|T1036 - Masquerading]] **Contexto de defesa:** [[t1195-supply-chain-compromise|Mitigação T1195]] · [[lgpd|LGPD]] (dados potencialmente exfiltrados)